最新Sober变种繁殖力强 危及企业邮箱系统

CNET科技资讯网11月24日国际报道 安全公司说，周末已发现最新型的Sober蠕虫，成为过去24小时内大量染毒电子邮件流量的最大祸源，可能造成企业电子邮件闸道器不胜负荷。

这一型的Sober变种产生大批电子邮件，假装发信者是中央情报局（CIA）或联邦调查局（FBI），诉讼收信人因为情治单位正调查非法网站，所以请他们务必回答附加文件里列出的一些问题。

一旦收信人开启附加文件，电脑立刻中毒，并把自我复制的病毒码发送到硬盘上找得到的任一个e-mail住址。

McAfee澳大利亚分公司营销经理Allan Bell说，在过去24小时之内，McAfee合作伙伴Postini监看的染毒电子邮件流量中，超过90%都夹带有Sober蠕虫。
 
Bell说：“1,680万封中毒的电子邮件当中，有大约1,500万封是Sober产生的。所以，大约有九成的中毒e-mail流量夹带这只蠕虫。”

他称这只蠕虫“繁殖力强”，能够产生大量的流量，造成信息泛滥成灾，甚至让电子邮件闸道器不胜负荷，形成类似阻断服务(denial-of-service)式的攻击。阻断服务攻击就是利用过量的信息查询信息，企图瘫痪目标系统。

Bell说：“当这些蠕虫产生大量流量时，它们本身就成为某种阻断服务攻击，因为你的电子邮件闸道器必须处理、识别然后拦阻它们。光是处理的步骤，就足以减缓系统的速度，中止正常e-mail的传输。”

英国杀毒软件制造商Sophos说，这只病毒的传播能力比McAfee描述的稍微和缓些。不过，Sophos同意，这只Sober变种的传播效力的确可观。

根据Sophos的信息，目前Sober占所有病毒流量的比率超过65%。此数已从该公司最初发布警示时的35%一路攀升，让Sober成为目前为止扩散力最强的病毒。

Sophos资深技术顾问Graham Cluley说，这只病毒的社交工程(social engineering)手段高明，因此才能蔓延得如此迅速。

他说：“每个守法的公民，都会老实回答警方的询问，希望有助于办案。有些人更受到惊吓，唯恐被诬告曾造访非法网站，因此会想点击这些不请自来e-mail的附加档。”

McAfee已根据e-mail流量，把Sober的威胁警戒层级提高到“中级”。其他安全公司也纷纷提高新Sober变种的安全警戒度。

F-Secure把警戒层级提高到“Radar Level 1 Alert”，是该公司三步骤评比系统中的最高警戒层级。这家芬兰公司的网站上说：“互联网企业在过去数小时内，已察觉数百万封中毒的电子邮件。”

赛门铁克(Symantec)把此蠕虫的威胁程度评为“第三级”，比最严重的第五级低两级。赛门铁克23日表示，自从11月19日以来，已在企业客户的系统中侦测到超过1,600起的潜在蠕虫威胁，另在消费者的系统中侦测到300起威胁。

趋势科技公司(Trend Micro)也一样发布“中级”警戒。

安全公司对这只蠕虫变种的命名各不相同，但上个月推出的“共同恶意程序编号系统”( Common Malware Enumeration system)把这个新祸害编号为“CME-681”。